SanitizeSVG (getDynamicIcon, बिना प्रमाणीकरण) में SVG नेमस्पेस प्रीफ़िक्स बाईपास के माध्यम से SiYuan रिफ्लेक्टेड XSS के लिए असुरक्षित

Siuan में CVE-2026-34605 संस्करण 3.6.0 में पेश किए गए SanitizeSVG फ़ंक्शन को प्रभावित करता है, जिसका उद्देश्य अनधिकृत /api/icon/getDynamicIcon एंडपॉइंट में XSS भेद्यता को ठीक करना है। यह फ़ंक्शन SVG छवियों में दुर्भावनापूर्ण स्क्रिप्ट के इंजेक्शन को रोकने के लिए डिज़ाइन किया गया है, लेकिन नामस्थान उपसर्गों के साथ तत्वों के नामों (जैसे <x:script xmlns:x="http://www.w3.org/2000/svg">) का उपयोग करके इसे बाईपास किया जा सकता है। Go का HTML5 पार्सर तत्व टैग को “x:script” के रूप में रिकॉर्ड करता है, न कि “script” के रूप में, जिससे फ़िल्टर टैग को बिना पता लगाए गुजरने देता है। चूँकि SVG को Content-Type: image/svg+xml के साथ और कंटेंट सुरक्षा नीति (CSP) के बिना परोसा जाता है, इसलिए प्रतिक्रिया को सीधे खोलने वाला ब्राउज़र दुर्भावनापूर्ण स्क्रिप्ट को निष्पादित कर सकता है, जिससे उपयोगकर्ता के संदर्भ में मनमाना कोड निष्पादित हो सकता है।

Users of Siyuan Kernel who are using versions prior to 0.0.0-20260330031106-f09953afc57a are at risk. This includes individuals and organizations relying on Siyuan for note-taking and knowledge management, particularly those who customize the application with custom SVG icons or integrate it with other systems.

• linux / server: Monitor Siyuan Kernel logs for unusual activity related to SVG icon loading. Use journalctl -f to observe real-time log entries. Look for patterns indicating attempts to load or process SVG files with unusual or namespace-prefixed tags.

journalctl -f | grep 'SanitizeSVG' | grep '<x:'

• generic web: Examine access logs for requests containing SVG files with namespace-prefixed tags. Use grep to search for patterns like <x:script within the request URI.

grep '<x:script' /var/log/apache2/access.log

1. 2026-04-01Disclosure

   disclosure

1. आरक्षित2026-03-30
2. प्रकाशित2026-04-01
3. संशोधित2026-04-06
4. EPSS अद्यतन2026-04-08

CVE-2026-34605 के लिए फिक्स Siuan के पैच किए गए संस्करण में अपडेट करना है: 0.0.0-20260330031106-f09953afc57a। यह संस्करण SVG सैनिटाइजेशन तर्क को ठीक करता है ताकि नामस्थान उपसर्ग की परवाह किए बिना <script> तत्वों को सही ढंग से पहचाना जा सके। एक अस्थायी शमन के रूप में, अविश्वसनीय स्रोतों से स्क्रिप्ट निष्पादन को प्रतिबंधित करने वाली सख्त कंटेंट सुरक्षा नीति (CSP) को लागू करने की अनुशंसा की जाती है। इसके अतिरिक्त, संभावित इंजेक्शन के लिए Siuan द्वारा उत्पन्न किसी भी गतिशील आइकन की समीक्षा और ऑडिट करना भी उचित है।